2.2　害人之心不可有，防人之心不可无

对于网络安全以及黑客技术这块崭新的领域，很多人往往感到不知所措、前进困难，这时就出现了一些不怀好意的人，利用各种各样的手段“伤害”读者，我们现在就来剖析一下这些常见的现象。

2.2.1　 “高明”的骗子

初学者不了解黑客的世界，却又不断尝试接触，这时，不怀好意的人就会乘虚而入，利用初学者对于黑客的不了解，自称黑客高手，说出一些看似高深的名词，骗取初学者的信任，并要求其缴纳“学费”，这种行为与诈骗无异。但由于取证困难，骗子很难得到惩罚，这更加助长了他们的嚣张气焰。

在此，笔者将介绍一些识别骗子的方法，各位可以作为参考，或告诉身边对黑客技术感兴趣的初学者，提高警惕，谨防上当受骗。

1．所谓黑客

很多时候，骗子们会在各种社区、论坛或是社交网站上发布类似于“黑客收徒”的信息，往往伴随着“技术列表”，如图2-1所示。

这是一种典型的骗术，可能那些人对所列举的技术仅仅是知道名字而已，有时打出的“特价收徒”则满足了一些人贪图小利的性格，使其上当受骗。除此之外，试想，如果这个人的技术真的如此高深，为什么还会为了几十元钱而到处散布“收徒信息”，张口闭口就是“收钱”呢？真正的技术大牛应该是抓紧时间研究技术，提升自己。另外，笔者想纠正一个普遍存在的认识错误：“盗号”很简单。试想，如果盗号真的如此简单，那让腾讯、阿里巴巴这些大公司的技术人员情何以堪？就算真的有人拥有这样的技术，他也不会为了一些可笑的理由去盗取别的社交账号的。

对于这种情况，不妨随意想一种不存在的“技术名称”，询问对方是否掌握，如果对方想都没想就肯定，那么谎言将不攻自破。如图2-2所示，我随意组合了SQL和XSS两个名词。

2．不要随意运行不明程序

有一些骗术手段更加隐蔽，以发送“黑客软件”为借口，给没有防备的新手发送木马软件，窃取信息，甚至让你的计算机在无声无息中沦为“肉鸡”（受黑客远程控制的计算机）。（关于木马，在第9章会有更多相关介绍。）

3．不要被看似“黑客”的东西蒙蔽

很多新手对黑客感兴趣是因为“觉得很酷”，正因如此，骗子们往往会用一些很酷的东西来吸引别人。例如“匿名者”以及“V字仇杀队”（图2-2左侧头像），“匿名者”黑客团队给人留下的印象就是“酷”和“神秘”，见图2-3，也难怪很多骗子打着“匿名者”的幌子招摇撞骗了。

还是那句话，真正钻研技术的人是不需要这些表面功夫的。用社交网络上夸张的头像等信息来彰显自己“黑客”身份的人，大多数是骗子或“娱乐圈”人士。关于“娱乐圈”，下一小节会做说明。

4．以假乱真的骗术

一些曾经在网络世界中招摇撞骗的人，或因巧合，或因其他原因，搜集了一些技术书籍的电子版本或一些效果明显的软件，在“学徒”缴纳学费后，发送给他们，其实说不定他们自己都看不懂这些书的内容。

2.2.2　黑客也有娱乐圈

娱乐圈在我们的社会不可或缺，但在网络安全的世界里，这个词就颇有些讽刺意义了。“黑客娱乐圈”本身没有一个准确的定义，一般认为：没有钻研技术的精神，整天考虑如何让自己看起来像黑客，仅会使用一些小工具就沾沾自喜、停滞不前的人就是娱乐圈成员；也经常用来代指以“黑客”为噱头炒作自己的人。

这样的人往往在一些QQ群里出现，这些群一般都有成百上千的群成员，并且各个群之间的成员有着相当高的重合性——这些混迹于各种社交群的人总会添加不止一个娱乐群。如果读者有一位同学，每天沉迷于谈论“刷QQ钻石”“网赚”这些东西，并乐此不疲地在自己的社交朋友圈发布“收徒信息”，那么没错了，他九成就属于笔者所说的“娱乐圈”。他们沉浸在自己浮躁的世界里，并乐在其中。

这并不是个例，很多刚进入这个圈子或渴望进入这个圈子的新手都希望追求一些更“酷”的事物，而不是潜心钻研技术。好奇之心人皆有之，笔者没资格要求他们做什么，但希望他们，特别是徘徊在“娱乐圈”的朋友们能看清那些光鲜下的不实，戒骄戒躁，悬崖勒马。

2.2.3　防范钓鱼网站

钓鱼网站的存在确实给诈骗活动提供了便利（例如，恭喜您获得了价值×××元的××奖品一类），但在此笔者要说的重点是针对用户账号、密码的钓鱼页面。

随着Web技术越来越发达，制作钓鱼页面的技术也随之提高，除去用来诈骗的钓鱼页面，还有一种钓鱼页面值得人们关注，即黑客攻击钓鱼页面。这种类型的钓鱼页面一般以得到目标用户密码等隐私信息为目的，伪造目标用户熟悉的Web环境并实施攻击，在6.4节有一个基于XSS的钓鱼示例，读者可以提前看一下。

为了防范这种钓鱼攻击，最便捷可靠的方法就是留意浏览器URL信息。

注意：此处仅仅是指浏览器显示的URL，而并不是点击链接时的URL——因为URL可以跳转，比如近期就有一个蠕虫在各大社交网站、朋友圈传播，中招的用户都会以不同方式发送一个URL：http://paypassport.suning.com/ids/oauth20/authorize?client_id=suning_01&response_type=code&redirect_uri=http://×××.com&www.qq.com。

这个链接实则是跳转到了×××.com，攻击者又在最后加入了www.qq.com进行迷惑，受害者往往在无意中就成为了蠕虫传播的一个环节，这种方式也被用于隐藏XSS的攻击。

那么，在受害者没有意识地进入攻击者的网站之后，下一步攻击又是如何展开的呢？用户的密码信息又是如何神不知鬼不觉地泄露的呢？

攻击者制作的登录页面看起来和真正的登录页面无异，但这个页面的工作原理如下：

（1）受害者输入账号、密码信息。

（2）提示密码错误，后台第一次记录账号、密码。

（3）受害者再次输入账号、密码。

（4）提示密码正确，并跳转到受害者真正想访问的网站，同时后台第二次记录账号、密码。

（5）记录两次输入的密码，发送给攻击者。

这样一来，抱有“我第一次随便输入密码就知道是不是真的”心态的防御方式彻底宣告失败。

回到刚才的那句话：“最便捷可靠的方式就是留意浏览器上的URL信息”，伪装得再精妙的钓鱼页面，URL也有着明显的不同，在登录时留意URL栏，无疑是一种简便高效的防御方式。该方法不能防御6.4节提到的XSS覆盖页面攻击，不过无须过于担心，遇到这种攻击的概率实在是可以忽略。

还有一点需要注意的是，有些钓鱼攻击者会用子域名来迷惑用户的眼睛，例如：www.baidu.com.×××.com（假设×××.com为攻击者的网站。）

这就需要我们睁大眼睛，对于要求输入密码的网站多留心，或是观察浏览器提供的信息来发现这些钓鱼页面（一些浏览器会自动判断该网站的真伪）。